● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 |
|||
漏洞名称 |
libcue远程代码执行漏洞 |
||
漏洞编号 |
QVD-2023-23917、CVE-2023-43641 |
||
公开时间 |
2023-10-09 |
影响对象数量级 |
千万级 |
奇安信评级 |
高危 |
CVSS 3.1分数 |
8.8 |
威胁类型 |
代码执行 |
利用可能性 |
高 |
POC状态 |
未公开 |
在野利用状态 |
未发现 |
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
利用条件:需要交互。 |
影响组件
libcue是一个用于解析cue表的库,cue表是一种描述CD上曲目布局的元数据格式。cue表通常与FLAC音频文件格式结合使用,因此libcue是一些音频播放器的依赖项,如Audacious。此外libcue被包含在GNOME中的应用程序tracker-miners使用,GNOME是广泛应用于各种Linux发行版的桌面环境,包括Debian、Ubuntu、Fedora、Red Hat Enterprise和SUSE Linux Enterprise等。
漏洞描述
近日,奇安信CERT监测到libcue 远程代码执行漏洞(CVE-2023-43641):libcue中存在越界访问漏洞。未经身份验证的远程攻击者诱导GNOME桌面环境的用户在从恶意网页下载CUE表后, tracker-miners会使用libcue来解析该具有.cue文件拓展名的恶意文件,从而触发libcue上的漏洞,最终可以在目标机器上执行任意代码。
Libcue存在于GNOME中,被许多开源操作系统使用,此漏洞影响范围较大,建议客户尽快做好自查及防护。
影响版本
libcue <= 2.2.1
其他受影响组件
其他引用libcue的程序,如tracker-miners
安全更新
目前libcue官方已临时修复了此漏洞,但尚未正式发布新版本,用户可下载源码编译使用。用户可持续关注libcue官方新版本发布,并及时更新。
参考:https://github.com/lipnitsk/libcue
目前Ubuntu已发布安全更新,Ubuntu 23.04、Ubuntu 22.04 LTS、Ubuntu 20.04 LTS受影响,请及时更新。
参考:https://ubuntu.com/security/notices/USN-6423-1
[1]https://github.com/lipnitsk/libcue
[2]https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
[3]https://security-tracker.debian.org/tracker/CVE-2023-43641
[4]https://ubuntu.com/security/notices/USN-6423-1
2023年10月10日,奇安信 CERT发布安全风险通告。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALHA威胁分析平台订阅更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):libcue远程代码执行漏洞(CVE-2023-43641)安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论